java - 使用 salt 将 Rijndael 解密从 PHP 移植到 Java

Question

我在将带有解密示例的 php 代码转换为 java 时遇到问题。这是 PHP 代码:

function decrypt($encrypted, $password, $salt='2#g+XK^Sc3"4ABXbvwF8CPD%en%;9,c(') {
    // Build a 256-bit $key which is a SHA256 hash of $salt and $password.
    $key = hash('SHA256', $salt . $password, true);
    // Retrieve $iv which is the first 22 characters plus ==, base64_decoded.
    $iv = base64_decode(substr($encrypted, 0, 22) . '==');
    // Remove $iv from $encrypted.
    $encrypted = substr($encrypted, 22);
    // Decrypt the data.  rtrim won't corrupt the data because the last 32 characters are the md5 hash; thus any \0 character has to be padding.
    $decrypted = rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_128, $key, base64_decode($encrypted), MCRYPT_MODE_CBC, $iv), "\0\4");
    // Retrieve $hash which is the last 32 characters of $decrypted.
    $hash = substr($decrypted, -32);
    // Remove the last 32 characters from $decrypted.
    $decrypted = substr($decrypted, 0, -32);
    // Integrity check.  If this fails, either the data is corrupted, or the password/salt was incorrect.
    if (md5($decrypted) != $hash) return false;
    // Yay!
    return $decrypted;
}

这是我所做的java代码。但这不起作用。

private static String password = "AxkbK2jZ5PMaeNZWfn8XRLUWF2waGwH2EkAXxBDU6aZ";
private static String salt = "2#g+XK^Sc3\"4ABXbvwF8CPD%en%;9,c(";
private static String text = "Fm+Zfufqe3DjRQtWcYdw9g9oXriDjrAkRrBLhEfu7fCtT4BzD0gw7D+8KxrcbbgJm26peTUWHU2k4YJ4KqCSRQN3NPzuXwlJ4mC4444Edg3Q==";

public String decrypt(String pass, String encr) {

    try {
        int i = 0;

        String key = hash();
        byte[] iv = Base64.decodeBase64(text.substring(0, 22) + "==");

        Cipher cipher = Cipher.getInstance("DES");
        SecretKeySpec keySpec = new SecretKeySpec(password.getBytes(), "DES");
        IvParameterSpec ivSpec = new IvParameterSpec(salt.getBytes());
        cipher.init(Cipher.DECRYPT_MODE, keySpec, ivSpec);
        ByteArrayInputStream fis = new ByteArrayInputStream(iv);
        CipherInputStream cis = new CipherInputStream(fis, cipher);
        ByteArrayOutputStream fos = new ByteArrayOutputStream();
        // decrypting
        byte[] b = new byte[8];
        while ((i = cis.read(b)) != -1) {
            fos.write(b, 0, i);
        }
        fos.flush();
        fos.close();
        cis.close();
        fis.close();

        return fos.toString();
    } catch (Exception e) {
        e.printStackTrace();
    }

    return null;
}

private String hash() {
    StringBuffer sb = new StringBuffer();

    try {
        MessageDigest md = null;
        md = MessageDigest.getInstance("SHA-256");
        md.update((password + salt).getBytes());
        byte byteData[] = md.digest();

        for (int i = 0; i < byteData.length; i++) {
            sb.append(Integer.toString((byteData[i] & 0xff) + 0x100, 16).substring(1));
        }
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    } finally {
        return sb.toString();
    }

}

Answer 1

您的代码存在一些问题。

• MCRYPT_RIJNDAEL_128 是 AES，而不是 DES。这是两种完全不同的算法。
• Cipher.getInstance("DES"); 可能默认为 Cipher.getInstance("DES/ECB/PKCS5Padding"); 取决于您的默认 JCE 提供程序
  • ECB 和 CBC 完全不同 modes of operation .
  • PHP 用 0x00 字节填充明文，而 PKCS#5/PKCS#7 padding添加padding bytes which contain the number of added padding bytes (比较方法 1 和 4)。
  • 您需要使用 Cipher.getInstance("AES/CBC/NoPadding"); 并自行删除尾部 0x00 和 0x04 字节。
• 您没有使用生成的 key ，而是直接使用不是 key 的密码。另外，您的 key 不应该是十六进制编码的，因为您还在 PHP 中使用原始 key 。
• 盐不是 IV。
• 您不会从恢复的明文末尾切掉哈希来验证它。

<小时/>

原始 PHP 代码中有些令人畏惧的东西:

• 如今，单次 SHA-256 还不够好。您的密码需要非常长(50 个以上随机字符)才能确保安全。使用高成本或迭代的 PBKDF2、bcrypt、scrypt，以便能够使用较短的密码。
• 看起来 IV 实际上是作为 Base64 编码的字符串附加到 Base64 编码的密文中，而没有填充字节。这是非常不寻常的情况，可能会导致误解。
• 使用 MCrypt 的零填充而不是利用 PKCS#7 padding .
• 检查明文的完整性很好，但您应该检查密文的完整性，因为 encrypt-then-MAC一般来说是比较好的。 MD5 也不够好。您应该至少使用 HMAC-SHA256。